我在一个开发团队中从事一个使用基于 Spring 的微服务的大型项目。我们最近发现了 Spring Cloud 项目,并正在尝试实现 Netflix 服务、Zuul、Eureka、Ribbon 等。
在我们的环境中,除非通过外部服务获得预授权,否则任何人都无法访问我们的应用程序将在其上运行的域。一旦他们到达我们的应用程序,我们将能够通过授权服务提供的 header token 获取用户的身份。
我想让 Zuul 使用预身份验证过滤器设置 Spring Security 来建立用户的 session ,并使用 Spring Session 使 session 可用于所有后端微服务。
这是一种合法的方法吗?我能看到的关于 Zuul 安全性的唯一信息是能够将 OAuth2 token 代理到后端服务,但我们不需要 OAuth2。有没有更好的方法来建立用户 session 并在我们后端架构中的服务之间共享它?
最佳答案
关于Zuul 上的 Spring Security 预授权过滤器建立和共享 session ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32681526/